信頼とシグナル

セキュリティスキャン(Security scan)

セキュリティスキャンは、リポジトリが宣言する依存関係を既知脆弱性データベースに照合する。結果がクリーンでも、プロジェクトが安全である証明にはならない。

この用語集は機械翻訳で、不正確な場合があります。

ここでのセキュリティスキャン とは、リポジトリが宣言する依存関係を公開アドバイザリデータベース(OSV など)に照合する自動的な検索を指します。プロジェクトが依存するパッケージ内の既知 CVE を検出します。

これは意図的に狭い範囲です。宣言された依存関係を調べるのであり、アプリケーションコード・実行時の振る舞い・プライベートパッケージは対象外です。「重大な問題は見つからなかった」は日付付きのスナップショットであり、保証ではありません。

GraphCanon では

あるツールで有効化されると、GraphCanon はサポートするロックファイルに対して OSV ベースのスキャンを走らせ、重大度と日付付きで検出結果を報告します。何を決して主張しないかは、信頼方法論に明記しています。

関連リンク

関連用語

最終確認 2026-07-09

Command menu

Search tools or jump to a page